Zondag 27/09/2020

Technologie

Het ideale achterpoortje voor hackers: uw slimme toestellen zijn zo lek als een zeef

Slimme stofzuigers vertonen veel kwetsbaarheden.Beeld Unsplash

Slim deurslot, slimme lamp of slimme robotstofzuiger? Het zijn de ideale achterpoortjes voor hackers. Dat blijkt opnieuw uit een onderzoek van Test Aankoop, dat verbonden toestellen controleerde op cyberveiligheid.

Toegegeven, het zijn geestige gadgets. Een deurbel met camera waarvan je de beelden op een smartphone kunt bekijken of een robotstofzuiger die met een swipe in de app de woonkamer van stof vrijwaart. Onze computers, smartphones en wearables zijn al met het wereldwijde web verbonden, steeds meer mensen achten het opportuun om ook de verlichting of het deurslot via een draadloze verbinding te besturen.

Test Aankoop kocht elf slimme toestellen (3 robotstofzuigers, 3 deursloten, 2 deurbellen en 3 lampen) en onderwierp ze aan enkele veiligheidstests. De consumentenorganisatie stootte bij zeven van de elf toestellen op kwetsbaarheden. De robotstofzuiger COAYU C560, te koop via Amazon voor 285 euro, bleek bijvoorbeeld zo lek als een zeef. Lees: doctoraatsonderzoeker Lennert Wouters kan vanaf zijn computer alle COAYU’s ter wereld overnemen via het internet.

De producent achter COAYU, Robot Bona, beweert zelf dat het 500.000 van deze robots per jaar kan produceren. Wouters zou daar een robotleger mee kunnen verzamelen. Een leuke premisse voor een Pixar-animatiefilm, maar je kunt er ook echt schade mee aanrichten. “Het probleem is dat je zulke stofzuigers moet bekijken als smartphones op wielen. Er is voldoende rekenkracht om zo’n toestel te gebruiken als een volwaardige computer”, zegt Wouters.

De COAYU C560 is zo lek als een zeef.Beeld rv

Zo zou hij de camera’s van de stofzuiger kunnen gebruiken om elk huis van binnenuit in kaart te brengen. Handig voor dieven om te bekijken of een bezoek de moeite loont. 

De stofzuiger is ook ideaal om meer informatie over de eigenaar te weten te komen. “Zodra je via een onbeveiligd toestel op het wifinetwerk geraakt, kun je heel wat andere informatie verzamelen.” De achterpoort kan zelfs gebruikt worden om ransomware te installeren op het netwerk. Enkel wanneer het slachtoffer losgeld betaalt, krijgt die opnieuw toegang tot zijn gegevens.

“Dergelijke toestellen zijn dankbare computerkracht voor hackers met grotere plannen”, zegt Wouters. “Denk bijvoorbeeld aan een DDoS-aanval (distributed denial of service, FE).” Daarbij kan een hacker de stofzuiger gebruiken als een van de vele computers die zo een massa aanvragen op een server van een bedrijf of een overheidsinstelling afvuurt, tot die crasht.

Tesla hacken

Het is volgens Wouters naïef om te eisen van bedrijven dat ze foutloze software op de markt brengen. “Maar het is wel belangrijk dat bedrijven hun verantwoordelijkheid nemen.” Zo maakte Wouters deel uit van het team dat in 2018 de contactloze sleutel van Tesla hackte. 

“Zij hebben ons meteen naar de kwetsbaarheden gevraagd en hebben een wereldwijde update uitgerold waardoor die hack niet meer mogelijk was.” Na een gelijkaardige hack bij sleutels van Toyota, Hyundai en Kia zaten de autoproducenten met de handen in het haar. Zij zouden alle sleutels moeten terugroepen, mochten ze dat probleem willen oplossen.

Een deurbel waarvan je de beelden op een smartphone kunt bekijken.Beeld rv

Test Aankoop pleit voor hogere standaarden als het om cyberveiligheid gaat. “Producten moeten aan strikte normen voldoen wat bijvoorbeeld brandveiligheid betreft, maar als het om onlineveiligheid en privacy gaat niet”, laat Simon November van de consumentenorganisatie weten. “Europa moet die rol opnemen. Aanbevelingen volstaan niet. We hebben normen nodig waar bedrijven aan moeten voldoen.”

Consumenten zouden er bijvoorbeeld zeker van moeten zijn dat de communicatie tussen toestel en server goed beschermd (versleuteld) is. “Denk ook aan het zogenaamde security by default”, zegt November. “Fabrikanten hebben nog steeds de slechte gewoonte om slimme toestellen van een onveilige gebruikersnaam en wachtwoord te voorzien, soms bijvoorbeeld te vinden op een sticker op het toestel. Dat zou eigenlijk niet mogen.”

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234